AWSのマルチアカウント管理 ベストプラクティス最新版 2025 / Multi-Account management on AWS best practice 2025

Transcript

1. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. アマゾン・ウェブ・サービス・ジャパン合同会社 シニアソリューションアーキテクト 大村 幸敬 シニアセキュリティコンサルタント 須田 聡 2025年04月16日 AWSのマルチアカウント管理 ベストプラクティス最新版 2025

2. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 2 アジェンダ 1. AWSのマルチアカウント管理 ベストプラクティス 2025年版 2. AWSのマルチアカウント管理 実践編 話すこと • 現時点におけるAWSのマルチアカウント管理のベストプラクティス • 実際の利用にあたって発生する課題とその対応方法 話さないこと • 個々のサービスの基本的な機能の解説（BlackBeltやドキュメントをご参照ください）

3. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 3 内容についての注意点 本資料では2025年04月16日時点のサービス内容および価格についてご 説明しています。最新の情報はAWS公式ウェブサイト (http://aws.amazon.com)にてご確認ください。 • 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格 に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、 別途消費税をご請求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

4. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 1. AWSのマルチアカウント管理 ベストプラクティス2025年版

5. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 5 大村 幸敬 (Yukitaka Ohmura) 部長 / シニアソリューションアーキテクト • スペシャリストSA のマネージャ • 運用 (Cloud Operations) と DevOps のスペシャリスト • Baseline Environment on AWS (BLEA) 開発者 - AWS上にガバナンスの基礎を構築するテンプレート @yktko re:Invent 2023 登壇 @富山湾岸サイクリング 2022

6. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 6 お客様が求めているもの ビジネス価値の創出に フォーカスしたい アイディア実現を 迅速化したい セキュアかつ 準拠した（Compliant） 環境を維持したい 組織のセキュリティや 監査要件に適合する 高可用性で スケーラブルに 対応できる ビジネス要件の変更に 対応するよう 設定変更が可能

7. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 7 AWS アカウント = リソースのコンテナ（入れ物） マルチアカウントにすることで得られるメリット 環境 ガバナンス 請求 部門単位や システムの単位で AWSのコストが 明確に分離できる 開発、テスト、本番 などの環境を セキュリティや ガバナンス、規制の ために分離できる （PCIなど） ワークロード分離 外部向け/社内向け、 顧客の違いにより ワークロードを分離し 相互の依存関係をなく し、シンプル化する 事前定義された ガバナンスフレーム ワークにより ビジネス部門に 権限を委譲できる

8. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 8 マルチアカウント管理にはランディングゾーンを用意 • ランディングゾーン (Landing Zone) • スケーラブルでセキュアなマルチアカウント環境のこと • AWS Control Tower はランディングゾーンの実装方法の一つ • ランディングゾーンが持つべき機能 1. マルチアカウントの構成（AWS Organizations） 2. アカウントの払い出し 3. セキュリティベースライン 4. ログイン情報の管理（認証と認可） 5. ログ集約 6. コスト管理 • 機能の実現に使われるサービス群 • Organizations, Control Tower, Config, CloudTrail, IAM Identity Center, Security Hub ... • Control Towerは最小限の機能を迅速に立ち上げることに向いている

9. © 2025, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. 9 マルチアカウント管理の最新状況 2025 • Landing Zone で実現するべき機能や実装方法は ここ数年大きく変化していない • ぜひ Control Tower を使ってください • 新機能はより高いガバナンスを実現するためのもので、 必須ではない（RCP、プロアクティブコントロールなど） • メンバアカウントのrootユーザ管理機能は取り入れをおすすめ

10. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Landing Zone provisioned by AWS Control Tower Management Account AWS Control Tower AWS Organizations AWS IAM Identity Center AWS CloudFormation StackSets AWS Service Catalog (Account Factory) Core OU Custom OU AWS IAM Identity Center directory Log Archive Account Audit Account Provisioned accounts Account Baseline Centralized AWS CloudTrail and AWS Config logs Account Baseline Security Notifications Security Cross- account roles AWS Config Aggregator Account Baseline Network Baseline

11. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 11 Landing Zoneの実装 1.マルチアカウントの構成 マルチアカウント戦略の設計指針 1. セキュリティと運用上のニーズに基づいて整理する （社内組織構造でなく） 2. セキュリティコントロールをアカウントではなく OUに適用する 3. 深いOU階層は避ける 4. 小さく始めて必要に応じて拡張する 5. 組織の管理アカウントに ワークロードをデプロイしない 6. 本番環境と非本番環境のワークロードを分離する 7. 本番アカウントには単一のまたは 関連するごくわずかのワークロードを割り当てる 8. オートメーションを使用して 俊敏性とスケーラビリティを支える • マルチアカウント環境におけるベストプラクティス(organizations ドキュメント) • Organizing Your AWS Environment Using Multiple Accounts (ホワイトペーパー) • 実践編：ポイント1「OU構成の議論」 ControlTowerのデフォルトOU構成 そのほかに推奨するOU（の例）

12. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 12 Landing Zoneの実装 2.アカウントの払い出し • 中央管理者がアカウントを払い出す • セルフサービス化には開発が必要 • 払い出しアカウントのカスタマイズ • 設定した内容および設定変更の責任を 誰が負うのか？ 責任境界と運用のスケール性を要検討 • 「Landing Zone Accelerator on AWS ソリューション」は規制業種向け 名前 マネージド サービス IaC SCP設定 複数の設定 Account Factory Customization (AFC) Yes AWS CloudFormation Terraform 不可 不可 AWS CloudFormation StackSets Yes AWS CloudFormation 不可 可能 Customization for AWS Control Tower (CfCT) No AWS CloudFormation 可能 可能 Account Factory for Terraform (AFT) No Terraform 可能 可能 ControlTowerにおけるアカウントカスタマイズ方法

13. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 13 Landing Zoneの実装 3.セキュリティベースライン • マルチアカウント管理のセキュリティでやるべきことの全部は何か？ と言われれば Security Reference Architecture を参照するとよい • 新機能は、より高いガバナンスを実現するためのものがほとんどで必須ではない • 通常はスタート地点として「基本的なセキュリティ」を実現すれば十分 • 予防的、プロアクティブ、発見的（検出的）、レスポンシブ、の4つの統制(*)をバランスよく • ただし、日本のお客様は予防的統制を強化しがち（変更に時間を要したり変えられなかったりする） • なので、SecurityHub による発見的統制の重視がおすすめ • Control Towerの「コントロール」はまだ可視化機能が不十分 • ControlTowerは基本的なセキュリティの中でも一部を実現しているにすぎない • 追加のサービスを利用してセキュリティベースラインを構成する • Baseline Environment on AWS (BLEA) のベースラインを参照 • ポイント：複雑な設定は不要、コストも小さく、稼働するワークロードに影響を与えない (*) AWSでのセキュリティコントロールの実装 - セキュリティコントロールのタイプ

14. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. AWS Security Reference Architecture (AWS SRA) https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html AWSのセキュリティサービスを フル活用する際のガイダンスと実装例 （多くの場合すべてを実装する必要はない） • セキュリティガバナンス • セキュリティ監査 • 脅威検出 • 脆弱性管理 • インフラストラクチャ保護 • データ保護 • アプリケーションセキュリティ • インシデントレスポンス 14

15. © 2025, Amazon Web Services, Inc. or its affiliates. Member

    Account Member Account セキュリティベースライン（BLEAの実装例） 15 Guest Account Config GuardDuty SecurityHub CloudTrail Inspector 構成変更の記録 設定がAWSのベストプラクティスに 適合しているかのチェック セキュリティ脅威の検知 APIの記録 脆弱性の検出 Audit Account Config Aggregator Management Account AWS Contrl Tower CloudTrail (Organization Trail) Logging Account GuardDuty SecurityHub IAM AccessAnalyzer Inspector Organizations Delegated Admins CloudWatch Logs (Log Stream of CloudTrail) CloudTrail Log (All account) Config Log (All account) Trusted Advisor Org view Trusted Advisor 推奨アクションのガイド IAM AccessAnalyzer ロールとユーザの利用状況検出 複雑な設定は不要、コストも小さく、稼働するワークロードに影響を与えない まずはこれらをONにしてセキュリティレベルのベースを上げることを推奨 ：Control Towerが提供する範囲

16. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 16 Landing Zoneの実装 4.ログイン情報の管理（認証と認可） アカウントアクセスの管理を簡素化するため フェデレーションによるアクセスを推奨 ControlTowerでは2つの方法から選択 1. AWS IAM Identity Center を使用して AWS アカウントアクセスを設定 2. AWS IAM Identity Center または その他の方法による セルフマネージド型 AWS アカウントアクセス 詳しくは 実践編：ポイント3「ID管理」を参照 AWS Control Tower Security OU 管理アカウント Sandbox OU ログアーカイブアカウント 監査アカウント AWS IAM AWS IAM AWS IAM Identity Center AWS IAM

17. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 17 Landing Zoneの実装 5.ログ集約 • CloudTrailおよびConfigのログを集約する • Control Towerはこれを強制できることが強い • 強制しないと設定漏れがち • ControlTowerではOrganizations全体の CloudTrail Log集約が可能に （ランディングゾーン バージョン3.0から） • 一方でログ集約はメンバアカウント管理者が 分析したい時に課題になりがち • 実践編：事業者C様検討事項 を参照 AWS Control Tower Security OU 管理アカウント Sandbox OU ログアーカイブアカウント 監査アカウント CloudWatch Logs (Log Streams of All accounts’ CloudTrail) Config CloudTrail CloudTrail Log (All accounts) Config Log (All accounts) Config Aggregator

18. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 18 Landing Zoneの実装 6.コスト管理 • Organizations全体のコストを アカウントやサービスごとに把握する • ControlTowerにはこの機能がない • 一般的なコスト管理ツールを使う 1. Cost Explorer • マネコンで直接使える機能 2. Cost and Usage Dashboard (CUD) • マネコンでデプロイするQuickSightダッシュボード 3. Cloud Intelligence Dashbaords(CID) • AWSがOSSで公開しているソリューション • 簡単に構築できる AWSコスト可視化ダッシュボードのユースケース – Cost and Usage Dashboard(CUD) と CUDOS • builders.flash - AWS でのコスト最適化の進め方 第 2 回 ~ コスト可視化のポイントと役立つ AWS サービスのご紹介 ! • Understanding the Cost and Usage Dashboard ↑ Cost Explorer ← CUDOS Dashboard (CIDのひとつ）

19. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 19 その他のトピック • root ユーザの取り扱い • 2024年末リリースの Centralize root access for member accountsの 利用を推奨（メンバアカウントのMFAキー管理が不要に） • 共通ネットワークをどのように構成するか • パターンが多様で「ベストプラクティス」は未提供 (例→ • セルフサービスアカウント管理（オンボーディング） • 現状、AWSのマネージドサービスには機能がなく実装が必要 • マルチアカウント管理の「運用」は誰がどのように行うか • 実践編を参照 • アカウントのカスタマイズをどのように提供するか（責任の持ち方） • Push型：CfCT等を使って中央管理者が設定する。 Pull型：中央管理者が用意したServiceCatalogから利用者がデプロイする • 参考:みずほリサーチ＆テクノロジーズが AWS CDK で実装したマルチアカウント管理の仕組み

20. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 2. AWSのマルチアカウント管理 実践編

21. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 21 2. AWSのマルチアカウント管理 実践編 お話しする内容 • 2-1. 自己紹介と私のお仕事 • 2-2. AWS Organizations, AWS Control Tower の活用を実践する • 2-3. マルチアカウント統制を整備した事例 • 2-4. マルチアカウント統制検討のポイント

22. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 2-1. 自己紹介と私のお仕事

23. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 23 須田 聡（Suda Satoru） Senior Security Consultant, AWS Professional Services 通信キャリア、コンサルティングファームを経て AWS の Professional Services チームに参画。 様々な業種のお客様に以下のようなセキュリティを軸としたご支援を実施： • セキュリティ統制基盤の構築 • セキュリティガイドライン策定支援 • セキュリティアセスメント • セキュリティワークショップ ＜ こういうの(城址) プライベート • 卓球 • 城址めぐり 得意分野 • 組織のマルチアカウント管理 • クラウドセキュリティの監視・監査 好きなサービス • AWS Control Tower, AWS Security Hub, GuardDuty こういうの より・・・

24. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 24 AWS プロフェッショナルサービスとは？ AWS プロフェッショナルサービスは、「各領域の AWS の専門家」が、「AWS クラウドを使用 することで期待されるビジネス上の成果」を実現するための有償サービスです。お客様が達成した い成果に合わせた短期、長期のプロジェクトに伴走して継続的なご支援を実施します。 https://aws.amazon.com/jp/professional-services/ 「あとは自分達でプロジェクトを進められそうです」と 言っていただければ、大成功だと思っています！ お客様と伴走する中で得た知見や 気づきを、お話させていただきます。 AWS プロフェッショナルサービス公式ページ AWS プロフェッショナルサービス紹介資料（抜粋）

25. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 25 マルチアカウント統制の改善を進めたいお客様のおかれている状況 いろんなサービスが使えるのは わかったけど、一度に全部使い 始めるのは難しい・・・ Control Tower でセキュリ ティベースラインが実装で きるのはわかったけど、ど うやってルールを選択すれ ばいいの・・・？ 統制基盤は完成した！ ところで、誰が統制の運用 を行えばいいんだ・・・ AWS アカウントがいつのまに かすごく増えているんだけど、 利用担当はセキュリティの事考 えているのかな・・・？ 事業者様のクラウド利用状況、課題はそれぞれ異なりますが、セキュリティ統制のご担当者様が 一般的に悩まれるポイントがいくつかあると考えています。 マルチアカウント統制で悩まれるポイント（例）

26. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 2-2. AWS Organizations, AWS Control Tower の活用を実践する

27. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 27 理想的なセキュリティ統制とは？ 理想的なセキュリティ統制を実現するためには、Security Reference Architecture (SRA) で 定義されるようなセキュリティ系の AWS サービスを、適切な体制を整えて使いこなす必要が あります。しかしこれから統制を始めるケースでは、理想の実装と運用体制を直ちに実現する ということは困難なことも多いです。 理想はわかるけど、 時間は有限だし、 人もすぐには増やせない・・・ Security Reference Architecture (SRA) CSIRT を中心とした体制の例 日本シーサート協議会「CSIRT 人材の定義と確保 Ver.2.1」 https://www.nca.gr.jp/activity/PDF/recruit-hr20201211.pdf AWS セキュリティリファレンスアーキテクチャ https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/security-reference- architecture/architecture.html • Security Hub • Amazon GuardDuty • Amazon Inspector • AWS Firewall Manager • Amazon Macie • Amazon Detective • AWS KMS ：

28. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 28 セキュリティ方針とクラウド上の対策 • 明確なセキュリティルールが存在し、クラウドの 設定レベルの禁止事項が用意されている • 可用性の確保を強く求められる、悪意のある操作 だけでなく、ミスによる誤操作影響もなくしたい • 予防的統制の徹底 (最小権限、SCP の活用) • ログの集約と保全の徹底 • IT全般のセキュリティルールはあり、クラウド利 用でも準拠が必要 • 部門ごとにシステム開発を担っているため、クラ ウド利用の自由度が求められる • 望ましくない設定や操作の標準化 • 発見的統制（Config Rules, GuardDuty, etc）を 中心に、特に重大なリスクを低減する セキュリティ方針 クラウド上の 対策 金融事業者様の例 その他のエンタープライズ企業の例 また理想的な統制が何かを定めるためには、よりどころにする組織のセキュリティ方針を明確 にすることが重要です。以下の例のように業界または事業者様によってセキュリティ方針は異 なるため、「理想的なクラウド上の対策」も異なってきます。

29. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 29 セキュリティ方針とクラウド上の対策 • 明確なセキュリティルールが存在し、クラウドの 設定レベルの禁止事項が用意されている • 可用性の確保を強く求められる、悪意のある操作 だけでなく、ミスによる誤操作影響もなくしたい • 予防的統制の徹底 (最小権限、SCP の活用) • ログの集約と保全の徹底 • IT全般のセキュリティルールはあり、クラウド利 用でも準拠が必要 • 部門ごとにシステム開発を担っているため、クラ ウド利用の自由度が求められる • 望ましくない設定や操作の標準化 • 発見的統制（Config Rules, GuardDuty, etc）を 中心に、特に重大なリスクを低減する セキュリティ方針 求められること 疑わしきは全て止めたい （操作させない、設定させない） 大事故は防ぎたい （自由に使えることも重要） 金融事業者様の例 その他のエンタープライズ企業の例 • 運用負荷は増大になりがち • 新しい技術 (AIなど) をどう取り込むか？ • どのようにリスクを評価すればよいか？ • 利用部門が統制方針を納得してくれるか？ また理想的な統制が何かを定めるためには、よりどころにする組織のセキュリティ方針を明確 にすることが重要です。以下の例のように業界または事業者様によってセキュリティ方針は異 なるため、理想的なクラウド上の対策も異なってきます。

30. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 30 理想的なセキュリティ統制を段階的に目指すアプローチ 今後の各管理策を 効果的かつ効率的に 実装するための 統制基盤を整備 クラウド環境の セキュリティ設定の 不備を継続的に 監査し修復を容易に行え る環境の整備 今後の各管理策を 検討し 優先施策を策定 インシデント対応のため の仕組みに加えて、運用 フローを強化 セキュリティインシデン トの予兆や事後分析のた め、ログの集約・分析基 盤を整備 プロフェッショナルサービスのご支援では、お客様が到達したいセキュリティ統制 (To-Be) を 明らかにしつつ、現時点の実装と体制を踏まえたマイルストンを策定することを提言していま す。各社の AWS 利用状況により、望ましい一元管理スコープは異なります。 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5～

31. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 2-3. マルチアカウント統制を整備した事例

32. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 32 セキュリティ統制の要件検討アプローチの例 達成したいセキュリティ統制のための統制基盤を構築するためには、検討の順序が重要です。 下記は一例ですが、大枠から徐々に詳細な設計に落とし込んでいく順序になっています。 # 検討カテゴリ 論点の例 1 ゴール定義 • 統制基盤上で実現すべきこと • 低減するリスク • 元となるセキュリティ規定 2 統制の前提確認 • 統制に関わるアクター • 統制上の制約 • 費用配分の制約 3 統制対象の明確化 • AWSアカウント利用者、アカウントの特性 • 利用するリージョン • アカウント数 4 利用するAWS サービス • 統制で実現したい機能 • AWS Control Tower の他に前提とするサービス 5 ID 管理方針 • IAM Identity Center の利用要否 • 外部認証連携利用要否 • 各アカウントにおける IAM リソース管理方針 • 統制基盤管理のための ID と権限 6 操作制御の要件 • 操作制御のレベル、実装方針 • マネージドなルールの活用検討 7 設定監査の要件 • 設定監査の方針、利用機能 • パッケージの活用 8 サービス連携 • 設定監査の一元管理の要否 • 状態を確認するためのツール • プロビジョニングの追加要件、アカウント区分ご とのプロビジョニングの方針 統制の 前提確認 統制 対象の 明確化 ゴール 定義 利用する AWS サービス サービス 連携 ID 管理 方針 設定監査の 要件 操作 制御の 要件 統制検討のアプローチ例

33. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 33 AWS マルチアカウント統制の要件検討アプローチ例 *1 [AWS Blog] AWS マルチアカウント統制の要件検討アプローチ例 https://aws.amazon.com/jp/blogs/news/defining-requirements-of-multi-account-landing-zone/ マルチアカウントのセキュリティ統制の要件を検討するアプローチ例を、AWS Blog でも公開 しています。

34. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 34 事業者A様検討事例 1/2 「セキュリティ統制を速やかに開始する」ということを求められている事業者様の例をご紹介 します。AWS Control Tower を利用しつつも、各 AWS サービスの Organizations 連携を活 用して、マネージドに実装と運用がやりやすい構成を目指しました。 ログアーカイブアカウン ト 監査アカウント 監査アカウント 監査アカウント メンバーアカウント AWS CloudTrail Amazon S3 (各サービスの一 元管理用バケッ ト) Organizations 管理 アカウント AWS CloudTrail Organizations と 連携した管理を委任 AWS Organizations Security Hub GuardDuty IAM Access Analyzer Security Hub GuardDuty Security Hub の 中央設定 GuardDuty の 一元管理機能 AWS Config Rules Security Hub の セキュリティ標準により作成 Control Tower 統制基盤を作っただけだと意味が ない。誰が、どうやって運用すれ ばよいか。 統制機能 関連サービス 実装方針 プロビジョ ニング AWS Control Tower • セキュリティベー スラインをプロビ ジョニングする 操作制御と 権限設計 SCP • SCPによるガード レールを実現する 設定監査 Security Hub IAM Access Analyzer • Security Hub の中 央設定を活用する • 組織単位のIAM Access Analyzerを 活用する ログ集約 CloudTrail • CloudTrail の組織 トレイル機能を活 用する 脅威検知 GuardDuty • GuardDuty の一元 管理機能を活用す る

35. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 35 事業者A様検討事例 2/2 「セキュリティ統制を速やかに開始する」することを目指す一方で、統制組織に人員リソース が多くないことも課題でした。そのためクラウド運用のノウハウのある外部事業者を活用する 方針を定められておりました。合わせて自社メンバーがセキュリティ統制に関与するかを明確 にした運用設計も定めました。 構成図等はプレゼンテーション限定とさせていただきました

36. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 36 事業者B様検討事例 1/2 統一された Organizations が無いバラバラに作られた AWS アカウントを、Control Tower で 一から作成された Organizations に集約しました。Security Hub のセキュリティ標準と BLEA を活用することで、クイックにセキュリティ統制を開始することを目指しました。 セキュリティ統制のパッケージと してBLEAは活用したいが、CDK を運用し続けるのが難しい・・・ BLEA開発チームが学んだAWS CDKの開発プラクティス 2023年版 | AWS Dev Day 2023 Tokyo #AWSDevDay 決定したマルチアカウント統制の方針 • BLEA のオプションである AWS Service Catalog のポートフォリオへの適用を活用 • AWS Control Tower Account Factory Customization (AFC) で AWS アカウン ト発行時に自動適用 • PoC では CloudShell を活用し、導入のた めの CDK による実装実行のためのリソー ス準備を最小限に抑えられた

37. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 37 事業者B様検討事例 2/2 BLEA は、AWS Control Tower を軸としたマルチアカウント管理環境と親和性をもって導入すること が可能です。このお客様の事例では、メンバーアカウント実装のテンプレートして BLEA を活用す る一方で、Security Hub, GuardDuty などのマネージドな Organizations 連携を活用するなどして、ク イックに統制環境を整えつつ、運用もしやすい基盤の開発を実現しました。 [GitHub] aws-sample BLEA https://github.com/aws-samples/baseline-environment-on-aws/blob/main/README_ja.md 一方でAWS サービス自体 (Security Hub 等) で持つマルチアカウント管 理機能と組みあわせて、簡易に運用 できる統制環境を目指した。 Guest Account (統制対 象) へのベースライン展開 を AFC で実行するために、 BLEA for Multi-Account を活用した

38. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 38 事業者C様検討事例 1/2 Organizations 管理部門がクラウド活用に長けているため、継続的に統制環境に機能を入れて いく基盤を実現した。Customize for Control Tower (CfCT) の設定を update し続けること で、利用中のアカウントを含めて統一的なベースラインを更新し続けることが可能となってい ます。 新規 メンバーアカウント 既存 メンバーアカウント ・・・ • AWS Control Towerで定義されていない独 自のガードレール、その他のプロビ ジョニングを実現できる • ベースライン (CloudFormation Stack Sets および SCP) を OU 単位で定義可能 • AWS アカウントの作成、OU の移動、 CfCT 設定の変更などのイベントに対応 しているため、細かなカスタマイズを 継続することが可能 CfCT を利用するメリット 【参考】https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/

39. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 39 事業者C様検討事例 2/2 AWS Control Tower で CloudTrail 機能を有効化する場合、AWS アカウントが Control Tower に登録済みか否かによらず、Trail リソースが実装されます。(Organizations Trail) すでに CloudTrail リソースが作成されている場合、Trail の費用が発生する点に留意する必要 があります。 構成図等はプレゼンテーション限定とさせていただきました

40. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 40 参考: AWS Control Tower が提供している CloudFormation テンプレートの活用 AWS Control Tower のランディングゾーンに含まれる CloudTrail を実装する CloudFormation テンプレートはカスタマー管理リソースとなるため、今テンプレートを AFC や CfCT に組み込んでメンバーアカウント単位の CloudTrail を実装することも可能です。 AWS Control Tower マネージドに選択することはできないが、 Organizations Trail を利用しないようにパラメータを設定することもできる

41. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 41 参考: CloudTrail Lake の活用 • マネージドに用意された機能であるイベントデータストアに集約す ることで、CloudTrail Lake の実行が可能となる • サンプルクエリなどを活用することで、効率的に必要な SQL クエ リを学習、開発することもできる • CloudTrail イベントだけでなく、CloudTrail Insights イベント、 AWS Config 設定項目などを対象にすることも可能 サンプルクエリを実行したイメージ CloudTrail Lake の特徴 仮に「50万イベントのデータ量=1GB(*1)」だった場合の比較: • CloudTrail の管理およびデータイベント(*2): 0.75 USD/GB • CloudTrail から S3 へ出力する際の費用(2つ目の証跡から有償) 50万イベントあたり 10 USD *1 検証環境で50万イベント約1GBだった実績がありました *2 データインジェスト料金は、データ保持中の圧縮していないデータに基づいており、CloudTrail Lake により実行されるクエリでは、最適化および圧縮されたデータに基づきます。 CloudWatch Logs でのログ解析の代替手段として、CloudTrail Lake も検討しておりました。 CloudTrail のログをマネージドに Athena で解析することができる一方で、CloudTrail の証跡 を2つ以上作るケースと比較してコストを抑えることができます。

42. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 2-4. マルチアカウント統制検討のポイント

43. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 43 ポイント1「OU構成の議論」 1/2 Organizations のユーザーガイドで OU 構成のベストプラクティスを参照いただくことができます(*1)。 必ずしも記載の OU 全てを用意する必要はありません。統制上のワークロードが想定されるものを選択して構成を 決めます。 *1 [AWS Organizations ユーザーガイド] OU のベストプラクティス https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous_best_practices.html • Security (セキュリティ): 「監査アカウント」、「ログアーカイブアカウント」などセキュリティ関連の AWS アカウント • Workloads (ワークロード): 各事業者が AWS を活用してビジネス目標を達成するための、主たるシステムを属させるための AWS アカウント • Infrastructure (インフラストラクチャー): 共通のネットワーク基盤、運用基盤などを管理する AWS アカウント • Sandbox (サンドボックス): 個々のデベロッパー AWS アカウント が実験に使用できる AWS アカウント • Policy Staging (ポリシーステージング): 提案されたポリシーの変更を組織全体に適用する前にテストできる AWS アカウント • Suspended (停止): 利用を終了しており、完全に閉鎖するためのプロセスを待つ AWS アカウント • Individual Business users (個々のビジネスユーザー): レポートやファイルをパートナーと共有するために S3 バケットを設定するなど、ビジネス生産性 関連のアプリケーションを作成する必要があるビジネスユーザー向けの AWS アカウント 。 • Exceptions (例外): ワークロード OU で定義されているものとは異なる、高度にカスタマイズされたセキュリティ要件 または監査要件を持つビジネスユースケースに使用される AWS アカウント • Deployments (デプロイ): 継続的インテグレーションと継続的デリバリー/デプロイ (CI/CD) を目的としたリソースを作成す る AWS アカウント • Transitional (移行): 組織の標準エリア (Workload OU 等) に移動する前のAWS アカウント それぞれの OU に属する AWS アカウント想定 OU 構成の主要な検討ステップ Step 1 : 一元管理上必要となる第一階層 の OU を決める Step 2 : ビジネス上、主要な AWS アカウントとなる “Workloads OU” の第二階層以下の構成を決める

44. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 44 ポイント1「OU構成の議論」 2/2 アカウント種別 共通基盤系システム 公開系システム 社内情報系システム 環境 本番 開発 検証 ステージング システム重要度 S A B C 利用リージョン 全リージョン グローバル特定リー ジョン 国内中心 利用部門 部門A 部門B 部門C 部門D AWS アカウントの分類軸の例 Root OU 第一階層 第二階層 第三階層 AWS Control Tower 統制下の メンバーアカウント リージョンの制限範囲で分割 環境種別(本番/開発・・・)で分割 Workload OU Workload OU 構成方針の例 Workload OU の構成を決めるためには、ビジネス上どのような AWS アカウントが作成されるか、いくつかの軸で グループを検討することが推奨されます。その中で統制上意味のある分類を特定することで、OU 構成と適用するセ キュリティベースラインを対応させることができるようになります。 セキュリティベー スラインのパター ン分けを行う意味 がある分類を特定 する

45. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 45 ポイント2「アカウント移行」 AWS Control Tower 環境で新たに作成する AWS アカウントだけでなく、既存の AWS アカ ウントを新統制環境に登録する必要があるケースも多くあります。現在の環境によって必要な 対応と留意が変わります。移行プロセスを整理した上で留意点をまとめると、対策を決めやす くなります。 Organizations 連携 している AWS サー ビスの洗い出し Organization Trail の有効化に注意 SCP有効によるワー クロードへの影響 CT登録のための 前提条件を洗い出す 離脱時のクレジット カード登録方針 スタンドアローン 別 Organization に 所属 同じ Organization に所属 既存の Organization からの離脱 新しい Organization への登録 各 AWS サービスの管 理下に登録 • Control Tower • OU移行(SCP有効) • Security Hub • GuardDuty • Inspector, etc セキュリティ機能の 無効化状態のリスク 対策 個別のセキュリティ 設定の更新影響 移行のつまずきポイントを 把握しておきたい

46. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 46 ポイント3「ID管理」 AWS Control Tower では、AWS Identity Center をオーケストレートすることが可能です。 ただしIAM の管理が各部門ごと、システム毎に既に実施されている場合、認証・権限設計の全 てを一元管理方式に移行することが現実的ではないケースもあります。そのため統制の要件に 合わせて限定的な一元管理を採用することがポイントになります。 1.認証・権限設計を一元管理 2.認証のみ一元管理 3.Admin のみ一元管理 Organizations 管理アカウント IAM Identity Center メンバーアカウント AWS IAMで管理される範囲 Admin 用 アクセス許可セット Organizations 管理アカウント IAM Identity Center メンバーアカウント アクター毎の アクセス許可セット アクター毎に用意された ロール 利用者 Identity Center が 管理する IdP 機能で 認証する Identity Center が 管理する IdP 機能で 認証する アクター毎に用意された ロール Admin ロール 利用者 Organizations 管理アカウント IAM Identity Center メンバーアカウント AWS IAMで管理される範囲 Admin 用 アクセス許可セット アクター毎に用意された ロール/ユーザー Admin ロール 利用者 カスタマー管理ポリシー IAMの 管理 IAMの 管理 IAM またはアカウント独自の 設定で認証する

47. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 47 ポイント4「コスト予想」 マルチアカウント統制を開始することでどの程度費用が増加するか確認が必要なケースがあり ます。以下は「将来的な利用の仮説に基づいた推測パターン」です。 47 統制基盤における 利用サービス名 有料/ 無料 課金単位 料金(*1) 統制基盤における 利用リソース 対象リージョン 想定コスト 想定コストの 前提 Security Hub 有料 •毎月のセキュリティ評価の数量 0.0010USD/評価数(*3) Security Hub 標準 **リージョン USD ** [/month] PoC 環境のxx倍 のチェックが発 生する想定 •取り込まれた検出結果の数量 Security Hub 標準は無料 Security Hub 標準 - - - AWS Config 有料 •AWS Config rules 評価数 0.0010USD/評価数(*3) Control Tower 発 見的コントロール **リージョン USD ** [/month] PoC 環境のxx倍 のチェックが発 生する想定 •Config項目の記録数 UDS 0.003/記録数(*4) AWS Config Recorder **リージョン PoC 環境のxx倍 の記録が発生す る想定 •コンフォーマンスパックの評価数 省略 利用なし - - - AWS CloudTrail 有料 •管理イベント費用（*2） 10万eventあたりUSD 2.00 組織トレイル 全リージョン USD ** [/month] PoC 環境のxx倍 の記録が発生す る想定 •データイベント費用 省略 利用なし - - - *1 料金は東京リージョンの単価を記載 (2024年9月時点) *2 2つ目の AWS CloudTrail から料金が発生する *3 チェック/アカウント/リージョン/月あたり最初の 10 万回まで *4 デフォルトの連続的な記録を採用した場合の金額 「ランディングゾーンというのは、いくらかかるの？」と稟議で聞かれてしまいました！

48. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 48 ご支援の事例と検討ポイントのまとめ 1. 現時点の実装と体制を踏まえたマイルストンを策定できると望まし いです。ただし費やせる時間と統制担当の人数を考慮して、現実的 な最初の一歩を決めていただくと統制の改善は前に進むと思います。 2. 自社のセキュリティ方針は大事です。方針次第では AWS のベスト プラクティスの適正は大きく変わります。また各領域のベストプラ クティスも一つではありません。 3. 一方で本日ご紹介した「検討において悩まれるポイント」は、複数 のお客様で共通する部分でもあるので、解決策の道しるべにしてい ただければ大変ありがたいです。 さあ、城のベストプラク ティスを持ってまいれ ？

49. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 49 まとめ 1. AWSのマルチアカウント管理 ベストプラクティス 2025年版 2. AWSのマルチアカウント管理 実践編

50. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 50 本日のまとめ 1. AWSのマルチアカウント管理 ベストプラクティス 2025年版 2. AWSのマルチアカウント管理 実践編 Appendix • AWS Black Belt Online Seminar • AWS Control Tower 基礎編 • AWS Control Tower 機能紹介編 • AWS Control Tower 手順編 AWS Control Towerの有効化 • AWSアカウント シングルサインオンの設計と運用（古いのですが基礎知識として） • JAWS AWS Expert Online マルチアカウント管理の基本 (2021年) • 資料(slideshare) / 動画 • セキュアでスケーラブルな AWS アカウント統制プラクティス最新動向 • AWS Summit Tokyo 2022 資料 / 動画 • 2025クラウドガバナンスはこう変わる！ マルチアカウント運用のre:Invent最新情報と活用例 • AWSブログ / 2025年1月時点の最新情報とお客様事例

51. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved.

52. © 2025, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Q & A